Share via

Ochrona wpisów tajnych wdrażania w chmurze

  • Artykuł

Microsoft Defender dla Chmury zapewnia skanowanie wpisów tajnych bez agenta na potrzeby wdrożeń w chmurze.

Co to jest wdrożenie w chmurze?

Wdrożenie w chmurze odnosi się do procesu wdrażania zasobów i zarządzania nimi u dostawców chmury, takich jak platforma Azure i AWS na dużą skalę, przy użyciu narzędzi, takich jak szablony usługi Azure Resource Manager i stos AWS CloudFormation. Innymi słowy, wdrożenie w chmurze jest wystąpieniem szablonu infrastruktury jako kodu (IaC).

Każda chmura udostępnia zapytanie interfejsu API, a podczas wykonywania zapytań dotyczących interfejsów API dla zasobów wdrażania w chmurze zazwyczaj pobiera się metadane wdrożenia, takie jak szablony wdrożenia, parametry, dane wyjściowe i tagi.

Zabezpieczenia od tworzenia oprogramowania do środowiska uruchomieniowego

Tradycyjne rozwiązania skanowania wpisów tajnych często wykrywają zagubione wpisy tajne w repozytoriach kodu, potokach kodu lub plikach na maszynach wirtualnych i kontenerach. Zasoby wdrażania w chmurze są zwykle pomijane i mogą obejmować wpisy tajne w postaci zwykłego tekstu, które mogą prowadzić do krytycznych zasobów, takich jak bazy danych, magazyn obiektów blob, repozytoria GitHub i usługi Azure OpenAI. Te wpisy tajne mogą umożliwić osobom atakującym wykorzystanie ukrytych powierzchni ataków w środowiskach chmury.

Skanowanie pod kątem wpisów tajnych wdrażania w chmurze dodaje dodatkową warstwę zabezpieczeń, zwracając się do scenariuszy, takich jak:

  • Zwiększone pokrycie zabezpieczeń: w Defender dla Chmury możliwości zabezpieczeń metodyki DevOps w Defender dla Chmury mogą identyfikować uwidocznione wpisy tajne na platformach zarządzania kontrolą źródła. Jednak ręcznie wyzwalane wdrożenia w chmurze ze stacji roboczej dewelopera mogą prowadzić do ujawnienia wpisów tajnych, które mogą być pomijane. Ponadto niektóre wpisy tajne mogą być widoczne tylko podczas środowiska uruchomieniowego wdrażania, takie jak te ujawnione w danych wyjściowych wdrożenia lub rozwiązane z usługi Azure Key Vault. Skanowanie pod kątem wpisów tajnych wdrażania w chmurze łączy tę lukę.
  • Zapobieganie ruchowi bocznemu: odnajdywanie uwidocznionych wpisów tajnych w zasobach wdrażania stanowi znaczne ryzyko nieautoryzowanego dostępu.
    • Aktorzy zagrożeń mogą wykorzystać te luki w zabezpieczeniach, aby przejść później w środowisku, ostatecznie zagrażając krytycznym usługom
    • Użycie analizy ścieżki ataku z skanowaniem wpisów tajnych wdrażania w chmurze spowoduje automatyczne odnalezienie ścieżek ataków obejmujących wdrożenie platformy Azure, które może prowadzić do naruszenia poufnych danych.
  • Odnajdywanie zasobów: wpływ nieskonfigurowanych zasobów wdrażania może być rozległy, co prowadzi do utworzenia nowych zasobów na rozszerzającej się powierzchni ataków.
    • Wykrywanie i zabezpieczanie wpisów tajnych w danych płaszczyzny kontroli zasobów może pomóc w zapobieganiu potencjalnym naruszeniom.
    • Adresowanie uwidocznionych wpisów tajnych podczas tworzenia zasobów może być szczególnie trudne.
    • Skanowanie wpisów tajnych wdrażania w chmurze pomaga zidentyfikować i wyeliminować te luki na wczesnym etapie.

Skanowanie ułatwia szybkie wykrywanie wpisów tajnych w postaci zwykłego tekstu we wdrożeniach w chmurze. Jeśli wpisy tajne zostaną wykryte Defender dla Chmury mogą pomóc zespołowi ds. zabezpieczeń w określaniu priorytetów działań i korygowaniu w celu zminimalizowania ryzyka ruchu bocznego.

Jak działa skanowanie wpisów tajnych wdrażania w chmurze?

Skanowanie ułatwia szybkie wykrywanie wpisów tajnych w postaci zwykłego tekstu we wdrożeniach w chmurze. Wpisy tajne skanowania pod kątem zasobów wdrażania w chmurze są bez agenta i używają interfejsu API płaszczyzny sterowania w chmurze.

Aparat skanowania wpisów tajnych firmy Microsoft sprawdza, czy można użyć kluczy prywatnych SSH do późniejszego przenoszenia w sieci.

  • Klucze SSH, które nie zostały pomyślnie zweryfikowane, są klasyfikowane jako niezweryfikowane na stronie Defender dla Chmury Rekomendacje.
  • Katalogi rozpoznawane jako zawierające zawartość związaną z testami są wykluczone ze skanowania.

Co jest obsługiwane?

Skanowanie zasobów wdrażania w chmurze wykrywa wpisy tajne w postaci zwykłego tekstu. Skanowanie jest dostępne w przypadku korzystania z planu zarządzania stanem zabezpieczeń w chmurze (CSPM) usługi Defender. Wdrażanie platformy Azure i platformy AWS w chmurze jest obsługiwane. Przejrzyj listę wpisów tajnych, które Defender dla Chmury mogą odnajdywać.

Jak mogę tożsamości i korygowania problemów z wpisami tajnymi?

Istnieje wiele sposobów:

  • Przejrzyj wpisy tajne w spisie zasobów: spis pokazuje stan zabezpieczeń zasobów połączonych z Defender dla Chmury. Ze spisu można wyświetlić wpisy tajne odnalezione na określonej maszynie.
  • Przejrzyj zalecenia dotyczące wpisów tajnych: po znalezieniu wpisów tajnych w zasobach zalecenie jest wyzwalane w obszarze Korygowanie kontroli zabezpieczeń luk w zabezpieczeniach na stronie Defender dla Chmury Rekomendacje.

Zalecenia dotyczące zabezpieczeń

Dostępne są następujące zalecenia dotyczące zabezpieczeń wpisów tajnych wdrażania w chmurze:

  • Zasoby platformy Azure: wdrożenia usługi Azure Resource Manager powinny mieć rozwiązane wyniki wpisów tajnych.
  • Zasoby platformy AWS: Usługa AWS CloudFormation Stack powinna mieć rozwiązane wyniki wpisów tajnych.

Scenariusze ścieżki ataku

Analiza ścieżki ataku to algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze w celu uwidaczniania możliwych do wykorzystania ścieżek, których osoby atakujące mogą używać do osiągnięcia zasobów o dużym wpływie.

Wstępnie zdefiniowane zapytania eksploratora zabezpieczeń w chmurze

Eksplorator zabezpieczeń w chmurze umożliwia proaktywne identyfikowanie potencjalnych zagrożeń bezpieczeństwa w środowisku chmury. Robi to przez wykonywanie zapytań względem grafu zabezpieczeń w chmurze. Utwórz zapytania, wybierając typy zasobów wdrożenia w chmurze oraz typy wpisów tajnych, które chcesz znaleźć.

Powiązana zawartość

Skanowanie wpisów tajnych maszyn wirtualnych.